Solo ieri vi raccontavamo dell’hacker russo che è riuscito a bypassare i meccanismi degli acquisti In App su App Store, cosa che gli ha permesso di abilitare servizi aggiuntivi senza effettivamente sborsare un centesimo. Come era facile prevedere, Apple sta ora cercando di fare luce sulla faccenda.
Non è ancora del tutto chiaro come Alexey Borodin sia riuscito nell’impresa, ma di sicuro il metodo funziona ed è pure alla portata di chiunque: per abilitare l’hack basta l’installazione di un paio di certificati e la modifica dei DNS del dispositivo iOS. Non è neppure necessario il jailbreak.
Ora però, Apple ha sguinzagliato i suoi ingegneri alla ricerca d’un rimedio. Lo spiega brevemente un portavoce di Cupertino, Natalie Harrison:
“La sicurezza dell’App Store è incredibilmente importante per noi e per la comunità di sviluppatori. Prendiamo molto seriamente i report di attività fraudolenta, e stiamo già investigando.”
In una intervista a Borodin pubblicata da The Next Web, l’hacker racconta di aver già effettuato 30.000 transazione non ufficiali attraverso il server messo a disposizione sul Web. Insiste molto sul fatto che nessun dato personale viene carpito durante il processo, a parte lo user ID e la password iTunes, ma già solo questo sembra un deterrente di tutto rispetto.
La cosa più seccante, tuttavia, è che l’intero ecosistema Apple appare fallato dalle fondamenta, e agli sviluppatori non resta molto altro se non attendere che Cupertino vi apporti le dovute modifiche. Così com’è, infatti, il meccanismo dell’In App Purhcase non è in grado di distinguere tra server reali e fittizi:
Attualmente, Apple fornisce un metodo agli sviluppatori per verificare le ricevute App Store sui propri server, il che lascerebbe credere che, così facendo, si potrebbe impedire il funzionamento del metodo Borodin. Ma abbiamo ricevuto conferme da lui che le cose non stanno così. Poiché il meccanismo di elusione emula la ricevuta dei server di verifica su App Store, l’app la tratta come una comunicazione ufficiale, chiuso l’argomento.
Insomma, non basterà una patch lato server o qualche ritocco formale. Non questa volta, in ogni caso, poiché la questione ha radici molto profonde.